La sécurité de l’information est-elle un échec ? Que faire alors ? Ecce homo

674865

Source : http://www.scoop.it/

Pour ceux qui découvriraient cette série – que vient clore cet article -, voici les liens vers les articles précédents :

Voici la liste des articles de la première série :

La sécurité de l’information est-elle un échec ? Le constat

La sécurité de l’information est-elle un échec ? Mode versus bon sens

La sécurité de l’information est-elle un échec ? Panorama et difficultés d’environnement

La sécurité de l’information est-elle un échec ? Physionomie globale des risques

Voici la liste de la seconde série :

La sécurité de l’information est-elle un échec ? S’inscrire dans une démarche globale

La sécurité de l’information est-elle un échec ? Que faire pour un droit efficace et adapté au 21ème siècle numérique ?

La sécurité de l’information est-elle un échec ? Structuration vertueuse des acteurs économiques

1/ Humain vs. Technique ?

Les derniers développements en matière de lutte informatique ou de cyberguerre opposent parfois les “techniciens” aux “stratèges”. Cette opposition est dommageable pour la bonne compréhension des enjeux SSI et donc pour le niveau de sécurité. En guise de conclusion à cette série d’article qui a commencé il y a presque 2 ans, la solution – étonnant n’est-ce pas – serait donc à chercher du côté de l’humain et de son potentiel.

Pour étayer cette opinion, nous pouvons nous référer à une lecture transversale de nos articles et propos qui permet de dégager 2 points critiques :

- La pratique de la SSI est parfois mise en échec. Bien souvent, une attaque génère un électrochoc salvateur mais le coût peut en être démesuré, si un marché d’envergure est perdu, par exemple. L’expression utilisée de manière récurrente par Patrick Pailloux, directeur de l’ANSSI – “hygiène informatique” – renvoie à un socle minimal de bonnes pratiques non totalement maîtrisées à ce jour;

- deux facteurs essentiels expliquent dans une certaine mesure les échecs constatés dans le domaine de la SSI : une difficulté à gérer l’humain qui constituera toujours la faiblesse principale mais paradoxalement le meilleur ressort de l’action en sécurité, et une obligation à gérer la pénurie de confiance technologique.

Ces deux derniers facteurs constituent des pistes d’améliorations qui, selon nous, permettraient une élévation très importante du niveau de sécurité. L’un comme l’autre peuvent largement s’inspirer de ce “retour aux sources” préconisé par l’ANSSI. Tous deux dépassent largement, dans les racines du problème comme dans les solutions le domaine strict de la sécurité, pour atteindre au niveau stratégique.

En premier lieu, il semble essentielde se défaire d’une vision de l’utilisateur comme source infinie de problème. La sensibilisation et la formation sont généralement issues des mêmes recettes déjà connues et ne participent pas d’une réelle amélioration continue de la sécurité. Ainsi, le public des utilisateurs est souvent considéré comme homogène, alors que certains possèdent objectivement  une sensibilité supérieure – par exemple, un ex-militaire sera bien plus sensible à la protection du secret – et pourraient ainsi devenir des relais de ces bonnes pratiques. A contrario, si on lui inflige une séance basique, sa réaction naturelle sera l’ennui et le rejet.

L’utilisateur sera donc toujours le meilleur relais des attaques et ce d’autant plus s’il n’est vu que comme une nuisance, ou bien s’il refuse d’être pleinement loyal vis-à-vis de son organisation. Une solution serait donc de procéder à un changement radical de nos méthodes de sensibilisation en considérant l’utilisateur comme un partenaire de la sécurité.

Pour que celui-ci ne soit pas incité à “trahir” son entreprise par un comportement laxiste ou volontaire, qui perturberait sérieusement sa sécurité, le lien entre l’entreprise et son salarié doit donc être actif, équitable et ne doit pas générer de frustration. On entre ici dans des questions de Responsabilité Sociale de l’Entreprise et plus généralement, du lien de l’individu avec son travail et son employeur… Le bien-être social par la SSI ?

Enfin, les actions de formation et de sensibilisation devraient être conçues et pensées en fonction de ces objectifs :

- prévenir des dangers

- inciter aux bons comportements

- discerner les personnes-ressources, les laxistes, les “ennemis” potentiels ou déclarés

En bref, c’est une démarche de gestion du changement qu’il sera nécessaire de mener. Celle-ci ne pourra intervenir que dans un contexte social, au sein de l’entreprise, qui permette aux salariés de se l’approprier. Elle fera notamment intervenir d’autres spécialistes que ceux de l’informatique ou de la sécurité, par exemple des formateurs de formateurs, des psychologues et des spécialistes des organisations…

2/ La confiance ne se décrète pas : elle se génère

L’offre en matière de produits de sécurité – la question des services a été traité dans un article précédent – devrait avoir comme objectif de concourir à l’élévation ou au maintien d’un certain niveau de confiance. Nous n’en sommes pas là, comme en témoignent les fréquentes critiques sur la vente de produits “en boîte noire”, qui illustrent le problème classique de la sécurité par l’obscurité.

En matière de sécurité, il n’existe que peu de maîtrise de ces solutions de sécurité “clé en main”. L’absence complète de visibilité sur les vulnérabilités intrinsèques est critique et les démarches de certification / qualification, comme la certification de sécurité de premier niveau(CSPN) ne sont qu’un premier pas vers plus de confiance dans des équipements parfois bien plus sensibles que ne le croient les organisations. N’hésitez pas à relire cette excellente analyse à ce sujet.

Il faut également évoquer un autre paramètre, car le niveau de confiance est également lié aux aspects sécurité des produits logiciels ou informatiques divers. À en croire certains experts en sécurité informatique, la clé de la sécurité du futur se trouve notamment dans les mains des éditeurs et autres producteurs.

Nous pouvons illustrer, pendant les différentes phases de création d’un produit, la place et la forme que pourraient prendre les acteurs de la sécurité :

- la phase de définition des besoins doit intégrer globalement la sécurité au démarrage du projet. Un accompagnement est souvent nécessaire pour envisager les cas d’usage et les multiples environnements humains et techniques dans lesquels seront potentiellement utilisés les produits ;

- la phase de développement doit intégrer des méthodologies de développement et d’architecture permettant de générer de l’auto-contrôle et de vérifier ainsi la conformité aux exigences de départ ;

- la pratique du contrôle extérieur dans l’esprit des Critères Communs est une nécessité absolue surtout en matière de produit de sécurité ;

- enfin, en se basant sur la valeur du produit créé, les dispositifs de protection du potentiel scientifique et technique de l’entité doivent être envisagés et rappelés. C’est ainsi que les moyens de développement, d’échanges doivent être prévus avant que l’un des acteurs ne choisisse, par ignorance, une solution désastreuse…On se rappelera le cas Nortel.

C’est donc une réflexion sur la protection d’une expertise qu’il faut prendre en compte et non pas uniquement la protection d’un produit qui l’intégrerait, car c’est une stratégie qui trouve ses limites. Il est plus difficile de reproduire une expertise et une expérience développée et renforcée par un individu que le produit qu’il a construit.

Finalement, cela revient à protéger l’humain par le renforcement de sa valeur. Réduire le potentiel d’un salarié à sa stricte production horaire ou quotidienne, c’est lui refuser la connaissance et l’expertise, et c’est surtout le plus sûr moyen de perdre son implication. Protéger l’information, c’est donc faire évoluer les organisations en renforçant la qualité intrinsèque de ce qui les compose, la “matière” ou la composante humaine afin de rendre toute sa valeur à la capacité créative et responsable de l’humain.

Concluons ainsi à propos des aspects sécurité de l’offre de produits informatiques : celle-ci évolue comme peuvent le montrer les efforts de Microsoft ou de Google  qui conduisent de véritables changements paradigmatiques malgré quelques tatonnements. Les challenges organisés par Google à propos de Chrome ou encore les propos fermes tenus par Bill Gates sont des indicateurs d’un changement profond.

Les responsables des entreprises et le secteur financier l’ont bien compris : il est parfois préférable de souscrire une assurance que de prendre les mesures de sécurité adéquates. En fait, la structure du marché ne donne pas toute sa chance aux acteurs qui permettraient de créer, à l’instar des organisations internes, un cercle vertueux producteur de sécurité et de qualité.

  1. Conclusion : de la SSI à une stratégie…

Poussé par la mode “cyber” et une prise de conscience accrue des risques, le domaine de la SSI peut être vu comme une extraordinaire occasion de dépasser des rigidités dans les organisations voire même dans notre société.

La place et la valeur de l’humain, celle de la technologie, la valeur du progrès et de la confiance, la compétitivité et la croissance sont des questions-clés, au cœur de notre actualité et qui dépassent le strict cadre d’un domaine d’action ou d’expertise.

La sécurité de l’information est un domaine sans concession, exigeant voire intransigeant. La place de l’informatique et son histoire sont des facteurs complémentaires qui placent la SSI au cœur des problématiques des organisations. Expliciter ce lien a été un des objectifs de cette double série d’articles.

La nécessité d’une stratégie adaptée et appliquée apparaît donc nettement. En guise de conclusion, ci-dessous une liste des solutions que nous avons pu évoquer dans les articles précédents en lien avec des domaines d’activité bien particulier.

Pour paraphraser le directeur de l’ANSSI, peut-on encore reprendre le “contrôle de nos systèmes d’information” ?

DROIT Limiter et clarifier les textes et principes
  Soutenir l’expertise et la maitrise
  Se restreindre à des lois pratiques et applicables notamment par des mécanismes accrus de contrôle
  Adopter des logiques de guichet unique et de partage d’information
  Faciliter les alertes et protéger ceux qui alertent, entreprises ou particuliers
ECONOMIE Evoluer vers un cycle vertueux au sein des organisations, en particuliers les sociétés de service
  Déterminer et mettre en œuvre les bonnes incitations susceptibles de générer des comportements SSI adaptés (responsabiliser…)
  Favoriser les produits maitrisés et connus et en développer la portée
  Concentrer les obligations de sécurité dans un souci d’efficacité : une même démarche pour les données personnelles et les savoir-faire stratégiques par exemple
  Favoriser le renforcement du secteur de l’audit et de certification des produits autour d’une démarche ayant fait l’objet d’un consensus
TECHNIQUE ET TECHNOLOGIES Faire de la confiance un objectif
  Rechercher et valoriser l’expertise, notamment technique dans tous les domaines
  Placer la sécurité à son bon niveau dans les projets, notamment informatique : dés le début et de manière constructive, dans le cycle de vie du projet
HUMAIN ET SOCIETE Dépasser la vision négative du collaborateur et en faire un atout dans la sécurité
  Mettre en œuvre une démarche de changement
  S’interroger sur l’adhésion du salarié à son organisation
  Définir une stratégie plus globale s’inspirant des dérives que les problématiques de sécurité mettent en avant

Nous espérons que cette série conduite sur une durée relativement étendue vous aura apporté des informations et des perspectives nouvelles. Nous vous remercions de l’avoir suivie. N’hésitez pas à nous contacter pour nous faire part de vos remarques.

Be Sociable, Share!

You may also like...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

UA-7688295-1